BIS Journal №2(53)2024

7 июня, 2024

«Мы живём в доме со стеклянными стенами…»

Что такое информационная безопасность крупнейшего рекрутингового портала? В чём ее специфика и универсальность? Легко ли набрать сотрудников, имея в распоряжении такую базу соискателей? Об этом и многом другом обозреватель BIS Jоurnal Марина Бродская беседует с CSO- и GR-директором HeadHunter Виталием Терентьевым.

 

Hh.ru — крупнейшая платформа онлайн-рекрутинга в России, клиентами которой являются свыше 523 тыс. компаний. Обширная база компании содержит 66 млн резюме, а среднее дневное количество вакансий в течение 2023 г. составило свыше 1,18 млн ежемесячно. По данным SimilarWeb, hh.ru занимает третье место в мире по популярности среди порталов по поиску работы и сотрудников.

 

ЧЕТЫРЕ «ШАПОЧКИ»

— Виталий, на конференциях вас часто представляют как директора по GR HeadHunter, хотя говорите вы, как правило, об информационной безопасности. Кто вы на самом деле: какие функции выполняете, какую должность занимаете?

— У меня четыре «шапочки» в компании. Первая — это управляющий партнёр HeadHunter по региону Центральная Азия и Закавказье. Всё, что там есть у компании, я создал и этим управляю. Вторая «шапочка» — директор по безопасности, CSO. Третья и четвёртая — это GR-директор и директор департамента специальных проектов.

— «Шапочку» по безопасности получали до 250-го Указа?

— До, конечно. До меня службы безопасности в компании не было, создавал с нуля.

 

ПРО ЗАМА ПО БЕЗОПАСНОСТИ

— Сейчас компания, подпадающая под действие 250-го Указа, должна иметь зама по безопасности. Как думаете, хватит ли ему знаний, которые ему дадут на рекомендованных курсах?

— 512-часовая программа переподготовки придумана ФСТЭК и ФСБ и решает достаточно узкие задачи. Она не столько даёт знания, сколько открывает возможности. Понятно, что защищать объект КИИ вы с такими знаниями не сможете, но они дают общие, достаточно глубокие представления о предмете и, конечно, лицензию.

— Многие идут учиться для галочки...

— Процесс нужно организовывать. Каждый действует в силу своих способностей и понимания ситуации. Кто-то всё сразу делает по уму, кто-то — не сразу...

 

ПРО ОБРАЗОВАНИЕ, ОПЫТ И УСТАНОВКИ

— И всё же… нужна реальная подготовка: опыт, ИТ-образование…

— Айтишное образование — это замечательно и всегда плюс, но в безопасности работает довольно много людей, не имея такого образования. Главное — опыт и отношение к делу. Без этого стать безопасником, как, например, и управленцем, невозможно.

Я стал директором по безопасности одного из крупнейших банков в Центральной Азии, ещё будучи студентом, в 21 год. Диплом защищал по системе, которую сам же и создавал. С тех пор опыт только прибавлялся, причём у меня не было ни одного проваленного проекта и, надеюсь, не будет.

— Не преувеличиваете?

— Нет. Это установка: ошибиться можно, проиграть — нельзя. Если начинаете свою деятельность с такой базовой позиции, то и опыт будет соответствующий. А если начинать с отношением «да мне всё равно, где и какой опыт получать», вас всегда будут взламывать.

— А есть ещё распространённая установка «К нам не придут, кому мы нужны? — мы маленькие, где-то в стороне…»

— Вот в это не верю! Если такая установка есть, значит, безопасник не умеет коммуницировать с руководством компании, не понимает сути бизнеса, который защищает, и такому безопаснику в профессии делать нечего. Это, как вы понимаете, я про уровень CISO как минимум.

 

ПРО ДЕПАРТАМЕНТ ИБ

— Вы сказали, что создали службу ИБ HeadHunter с нуля. Когда это произошло?

— Я работаю в компании 18 лет, а департамент ИБ создал семь лет назад. Начинал один, потом набрал отдел. Нашу компанию сделали талантливые и преданные делу люди, и её безопасность тоже. Они очень разные. Мы не всегда находим общий язык, но то, что мои коллеги — крутые, великолепные безопасники, — это безусловно. Счет 0:0 — благодаря им.

— Текучка кадров у вас большая?

— Не часто, но иногда уходят. Был кейс, когда ушла целая команда — но что приятно, не в другую компанию или к конкурентам, а в свой частный бизнес. А когда уходит родная команда, это трудно, и это очень сложносочинённый процесс.

У меня как управленца, не скрою, случались ошибки, но на компании, на её защищённости это никогда не отражалось. Иначе я занимался бы чем-то другим.

— Как вы решаете проблему кадрового голода?

— Как и все вокруг — с трудом. Какая разница, сидишь ты сам на большой базе соискателей или где-то её покупаешь. Мы в одинаковых условиях со своими клиентами: квалифицированных кадров не хватает всем! Более того, у меня завышенные требования к людям, поэтому срок закрытия позиции очень длинный. И это моя боль.

Сейчас у нас работают человек 15, открыто много вакансий. Нужны «зубастые волки» — джуниоров мы давно набрали…

— Насколько то, что реализовано, отличается от первоначального замысла?

— Не отличается. У меня хорошее стратегическое планирование. Всё, что задумывалось семь лет назад, было реализовано и продолжает реализовываться. Осталось ещё года на два.

— А как с импортозамещением? Не застало вас врасплох?

— Выбор технологических решений — по большей части вкусовщина. Могу сказать, что я с самого начала старался использовать продукты и решения, которые каким-то образом имеют отношение к России. Чему сегодня очень рад, поскольку не имею головной боли на эту тему.

— А как с бюджетом?

— Бюджет департамента ИБ не роскошный, как у многих коллег с рынка... Получаем необходимое под конкретные задачи. Иногда хорошо, иногда с задержкой, а в целом — грех жаловаться. Скажем так: уже давно компания не страдает недостатком финансирования вопросов ИБ.

— Были ли серьёзные инциденты?

— Не было. Нас пытались «ломать», пытаются и будут продолжать. Но, повторюсь, счёт пока 0:0. Благодаря людям, которые здесь работают.

— Вы вошли в Регистр организаторов распространения информации. Что-то изменилось?

— Ничего не изменилось. Есть нормативные требования, которые любая компания, работающая с персональными данными, обязана исполнять. Система построена в соответствии с ними, нас фактически подключили с готовой инфраструктурой исполнения этой практики. Пришлось сделать минимум телодвижений, чтобы подключиться правильно.

— HeadHunter представлен в семи странах. Насколько сложно соблюдать законодательства?

— Сложности возникают, бывает… Но ядро защиты базового законодательства во всех странах примерно одинаковое: «не воруй, не укради, соблюдай правила по персональным данным…» Поэтому понятно, что делать. Есть, конечно, отличия, исключения, разные трактовки… Но если ты в них разбираешься, не составляет труда со всем этим управиться. А по сути различий в законодательствах наших стран в отношении ИБ практически нет.

 

ПРОВЕРКА КЛИЕНТОВ

— Проверяют ли HeadHunter и другие рекрутинговые платформы работодателей на благонадёжность?

— Обязательно, но каждая по-своему. По-разному настроены антифрод, система, контролирующая логистику… Некоторые, например, пускают к себе пользователей, которых мы не принимаем. Потому что для них это риск невысокий, а для нас — высокий.

— То есть объявления о наборе дропперов вы отсекаете, а другие нет?

— Дропперов набирают везде, от этого непросто избавиться. Как правило, такие вакансии маскируют под курьеров, а потом кандидата выводят на персональный разговор... Мы знаем, как с этим бороться, но это не только вопрос ИБ. Будет закон — будем решать.

 

О ПРОБЛЕМЕ КАДРОВ

— Тема кадрового голода обсуждается на всех конференциях по ИБ. Но на портале HeadHunter мы видим огромное количество резюме безопасников…

— Сейчас на одну вакансию — 0,3 резюме. Дефицит в сфере ИБ зашкаливающий, потому что настоящих специалистов действительно мало, а со временем станет ещё меньше, так как требования к уровню компетентности стремительно повышаются. Плюс мелкодисперсный рынок и неразбериха с неймингом. У одного руководителя должность называется CISO, у другого — директор по безопасности, у третьего — ещё как-то... Что уж говорить про низшие должности.

— С учётом проблем в нейминге, как вы получаете данные по дефициту кадров в ИБ?

— У нас есть целый исследовательский центр, который этим занимается, применяет ИИ, который анализирует в первую очередь тексты, а потом уже название вакансий. И мы точно знаем, что дефицит будет увеличиваться: проектов, которые нужно защищать, становится больше, соответственно, безопасников всё меньше. Скоро за них начнётся настоящая битва, и зарплаты в этой области должны подниматься.

— Может, ИИ поможет?

— К сожалению, искусственным интеллектом безопасников не заменить. Это работа творческая. Люди создают новое, каждая система защиты по-своему уникальна — под конкретные задачи.

Поэтому с людьми всё грустно. И вряд ли будет лучше: у нас не так много учебных заведений и крутых специалистов, которые готовы учить, передавать знания из рук в руки.

Айтишники могут съездить в какой-нибудь ИТ-кэмп для передачи опыта, а вот опытные безопасники не готовы делиться: зачем растить конкурентов, снижать свою стоимость на рынке и т. д. Накладываются и искажения психики, и другие специфические моменты.

— В отличие от отрасли ИБ, где с людьми всё плохо, вузы говорят, что у них с подготовкой кадров всё хорошо, они проходят аттестации и сертификации, высоко оцениваются учебно-методическим объединением...

— У вузов свои задачи, своя ситуация, они будут продолжать упираться и не прислушиваться к бизнесу. Это давно известно, и обсуждать это бессмысленно.

Чтобы что-то изменить, нужно делать серьёзные программные вещи. Например, направлять преподавателей ИБ из вузов в крупные ИТ-компании — на трёхмесячную аттестацию. Не получил аттестата — не имеешь права преподавать.

Или идти по пути «Яндекса» и Сбера. Они открывают свои университеты, засылают людей преподавать в вузы. Понятно, что они таким образом «пылесосят» рынок и забирают к себе лучших. Но в процессе они обучают довольно много молодых людей, которые выходят на рынок, имея актуальные знания.

А компании по безопасности учат кого-то безопасности? Что-то не видно. Почему?

 

НЕ ПРОДАВАТЬ СТРАХ

— Как эту позицию сдвинуть с места?

— Если примут новый закон об оборотных штрафах, привлекут к ответственности две-три компании, многие забеспокоятся. Потому что в бизнесе, в безопасности, к величайшему сожалению, работает прецедентное право. И пока нет прецедентов, никто не шевелится.

Другая проблема — большинство CISO/CSO не умеют общаться с руководством, поэтому не включены в стратегию компании, в совет директоров, в информационные потоки… Живут как бы отдельно в своём периметре. Пока так будет, бизнес не зашевелится. И это проблема самих безопасников, им ситуация выгодна из-за невысокой конкуренции или нехватки компетентности. Единицы CISO могут поговорить с бизнесом на серьёзном уровне и не продавать страх. И тогда безопасность вшивается в процесс, хеджирует риски, предиктивно до момента их появления, чтобы бизнес чувствовал себя комфортно. Строить систему безопасности надо до момента постройки бизнеса, это дешевле.

— К этому уже многие приходят…

— Только в крупных компаниях, и то с учётом результатов, которые мы имеем. Сколько за последние три-четыре года утечек из крупных компаний произошло? Много.

— Может, штрафы маленькие?

— Нет, просто бизнесу всё равно. Можно жить как живётся. Хотя я не совсем согласен, что нужно обязательно вводить оборотные штрафы. Идея, может, и неплоха — внедряет ответственность. Но штрафы с учётом несовершенства закона и его разностороннего трактования не будут работать так, как хотелось бы, с ходу. Бизнес зашевелится, но только из-под палки.

 

ПРО ОБОРОТНЫЕ ШТРАФЫ

— Законопроект об оборотных штрафах вызвал бурные дискуссии…

— Законопроект неплохой. Я много спорил и с коллегами на открытых мероприятиях, и с регуляторами… Идея хорошая — реализация не самая лучшая.

Представьте, как в суде будете доказывать виновность или невиновность, когда большинство судей не знают, что такое IP-адрес? Им принесут великолепное, исчерпывающее расследование, сделанное, например, компанией Positive Technologies, а они его не примут во внимание, потому что не могут понять терминологию. И что дальше?

— Законопроект потребует после его принятия наращивать нормативную базу…

— Правильно, но об этом почему-то не думают. Я как GR взаимодействую с законодателями, меня слушают. Другой вопрос, как слушают? Расклад-то непростой: есть позиция государства, есть экспертная позиция. Но, кроме этого, многим сложившаяся ситуация выгодна. Например, компаниям по безопасности, получающим дополнительное финансирование. И их GR лоббирует третью точку зрения.

С точки зрения эксперта я бы этот закон доработал. Довёл до кондиции, чтобы он работал эффективно, чтобы компаниям стало наконец понятно, куда и зачем вкладывать средства.

— В рамках подготовки ко второму чтению идёт лоббирование снижения размеров штрафов, если компания приняла меры…

— Вас могут пощадить, только если вы тратите 0,01% от вашей выручки на безопасность. Большинство российских компаний этому показателю не соответствуют, они не в состоянии выполнить это требование. Тратится радикально меньше. Это первый момент. А второй — надо пройти аудит у регулятора на соответствие безопасности. У нас большинство компаний аудиты не проходят.

— То есть давить только штрафами и страхом?

— К сожалению, принято такое решение. Мне, повторюсь, идея нравится, а вот форма реализации — нет. Я не считаю, что штрафами мы добьёмся кратного увеличения безопасности. С другой стороны, понимаю, что, когда тебя не слышат, возможно, это один из способов добиться, чтобы тебя услышали. Плюс уголовная ответственность, но она не во всех разрезах возникает.

 

О ЧЕЛОВЕЧЕСКОМ ФАКТОРЕ

— Эксперты «Лаборатории Касперского» заявили, что после принятия закона ждут сообщений о неизвестных нам утечках по известным им инцидентам. Вопрос, когда всплывут сами данные?

— У любой компании есть такое состояние — «ожидания всплытия». Защитить бизнес полностью физически невозможно, даже если вы соберёте топовую команду безопасников. Потому что всегда остаётся человеческий фактор и пресловутая социальная инженерия. Дырку в человеческой голове никаким скотчем не заклеишь, никаким файрволом не закроешь. Никакой SOC не поможет, если в голове человека «дырявый» взгляд на безопасность, которую он считает некой мелкой сервисной функцией и не понимает, что сейчас она — краеугольный камень внутри бизнес-процесса компании. Поймёт — тогда в компании и будет порядок.

 

ПРО ТЁМНУЮ СТОРОНУ

— Но реальные «всплытия» утечек будут?

— Конечно, будут. Когда появилась тема с законом, ребята с «тёмной стороны», назовём их так, свою добычу придержали и пока не афишируют — потом будет веселее шантажировать компании. С государства «плохиши» ничего не получат, а с компаний в новой ситуации можно будет получить очень много. Не забывайте, что, кроме штрафа, есть репутационные риски и многое другое, из-за чего компании могут пострадать. И с этим ничего не сделаешь.

 

О РЕПУТАЦИОННЫХ РИСКАХ

— Так ли у нас важны репутационные риски? Ну, была утечка и была...

— Это только кажется. Любой бизнес живёт во времени, и после серьёзной утечки, в которую попали ваши данные, вы эту компанию точно не забудете. Будете реже иметь с ней дело, скажете знакомым быть с ней аккуратнее. В результате организация несёт затраты на дополнительное продвижение продуктов, перестройку службы поддержки — из-за снижения доверия… Масса влияний, которые выливаются в деньги. Другой вопрос, что затраты не все считают. Но каждый выбирает свой путь.

 

ОБ ОБЫВАТЕЛЯХ

— Однако большинство обывателей не знает об утечках. Люди просто удивляются, что им позвонил очередной мошенник, который в курсе их проблем...

— Большинство людей будут удивляться и дальше. Мы живём в доме со стеклянными стенами, и об этом нельзя забывать. Всё, что хотя бы один раз попало в интернет, рано или поздно будет использовано против личности. Это вопрос времени. Причём неважно, госсистема это или нет, всё — достояние общественности. И оно не нормировано, не регламентировано и никак не контролируемо. Даже безопасники это не всегда понимают, что вы от обывателей хотите?

 

Беседовала Марина Бродская

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных